Jak vytvořit fintech platformu — platby, lending a neobanking v Česku

"Chceme udělat takový Revolut, ale pro české firmy." Tuhle větu slyšíme na každém pátém callu. Zakladatel má vizi, má kapitál, má urgenci. Nemá ale ponětí, že fintech není jen software — je to regulace, licence, compliance, bezpečnostní audity a měsíce jednání s Českou národní bankou. A že špatné rozhodnutí v prvním měsíci neznamená jen přepsání kódu, ale potenciálně milionovou pokutu.

Tento průvodce je pro vás, pokud chcete v Česku stavět fintech produkt. Ať už jde o lendingovou platformu, platební bránu, neobanku nebo investiční aplikaci. Žádné marketingové fráze. Konkrétní regulace, konkrétní architektura, konkrétní náklady.

Regulace v Česku — co musíte vědět, než napíšete první řádek kódu

Tohle je bod, kde většina technických zakladatelů chce přeskočit rovnou k API dokumentaci. Nedělejte to. V českém fintechu je regulace základ, na kterém stojí všechno ostatní. Postavíte-li produkt bez správné licence, Česká národní banka vám ho zavře. Ne za rok. Za týdny.

ČNB reguluje finanční služby v Česku pod zákonem o platebním styku (zákon č. 370/2017 Sb.) a zákonem o podnikání na kapitálovém trhu. V kontextu fintechu vás zajímají hlavně dvě kategorie: platební instituce a instituce elektronických peněz.

Platební instituce může provádět platební transakce — převody, inkaso, platební příkazy. Licence od ČNB vyžaduje minimální kapitál 125 000 eur, což je zhruba 3,1 milionu korun. Proces získání trvá zpravidla šest až dvanáct měsíců a vyžaduje detailní obchodní plán, popis řízení rizik, AML procedury a prokázání odborné způsobilosti vedení.

Instituce elektronických peněz může navíc vydávat elektronické peníze — tedy uchovávat prostředky klientů na účtech. Minimální kapitál je 350 000 eur, přibližně 8,7 milionu korun. Tohle potřebujete, pokud stavíte neobanku nebo jakoukoli službu, kde klienti mají u vás zůstatek.

Existuje ale třetí cesta, kterou spousta českých fintechů využívá: poskytovatel platebních služeb malého rozsahu. Pokud váš měsíční objem transakcí nepřesáhne tři miliony eur, můžete operovat s registrací místo plné licence. Kapitálové požadavky jsou výrazně nižší a proces registrace trvá řádově měsíce, ne rok. Je to ideální cesta pro MVP, ale má omezení — nemůžete operovat v jiných zemích EU přes passporting.

PSD2 je evropská směrnice, která otevřela bankovní data třetím stranám. Pro vás to znamená dvě věci. Za prvé, pokud chcete přistupovat k bankovním účtům klientů (agregace účtů, iniciace plateb), potřebujete licenci AISP nebo PISP. Za druhé, české banky jsou povinny vám tyto přístupy poskytnout přes své API. V praxi to znamená, že můžete stavět službu, která čte bankovní data klientů z ČSOB, Komerční banky nebo Monety, aniž byste museli být banka.

Co můžete dělat bez licence? Překvapivě dost. Srovnávací služby, finanční poradenství (bez správy prostředků), analytické nástroje nad bankovními daty (pokud data získáte se souhlasem klienta přes AISP licenci partnera), vzdělávací platformy. Jakmile ale přijdete do kontaktu s reálnými penězi klientů — přijímáte je, uchováváte je, převádíte je — potřebujete licenci.

Typy fintech platforem a co každá vyžaduje

Fintech není monolit. Každý typ platformy má jiné regulatorní požadavky, jinou architekturu a jiný cenový rozsah. Pojďme si projít hlavní kategorie.

P2P lending platforma spojuje investory s dlužníky. Vy jako provozovatel platformy zprostředkováváte úvěry, ale sami je neposkytujete. V Česku potřebujete licenci od ČNB jako nebankovní poskytovatel spotřebitelských úvěrů podle zákona č. 257/2016 Sb. Od listopadu 2023 navíc platí nařízení EU o crowdfundingových službách (ECSPR), které pokrývá i investiční lending. Technicky potřebujete matching engine, systém credit scoringu, správu portfolia a automatizované vyplácení výnosů investorům.

Platební brána je technicky nejjednodušší vstup do fintechu. Zpracováváte platby kartou nebo bankovním převodem pro e-shopy a služby. Potřebujete licenci platební instituce nebo partnerství s existující licencovanou entitou. V praxi většina českých startupů začíná jako payment facilitator pod licencí partnera — typicky banky nebo existující platební instituce. Technicky jde o integraci s karetními sítěmi Visa a Mastercard přes acquiring banku, implementaci 3D Secure a certifikaci PCI DSS.

Neobank je nejnáročnější kategorie. Vedete účty klientů, vydáváte karty, umožňujete převody. Potřebujete licenci instituce elektronických peněz nebo přímo bankovní licenci. Bankovní licence v Česku vyžaduje minimální kapitál 500 milionů korun a proces trvá rok až dva. Většina evropských neobank proto operuje s e-money licencí a spolupracuje s licencovanou bankou na bankovní infrastruktuře. Technicky potřebujete core banking systém, karetní processing, real-time platební engine a robustní KYC/AML.

Investiční aplikace a robo-advisoři spadají pod zákon o podnikání na kapitálovém trhu. Pokud poskytujete investiční poradenství nebo spravujete portfolia, potřebujete licenci obchodníka s cennými papíry od ČNB. Robo-advisor, který automaticky alokuje prostředky klientů do fondů nebo ETF, je z pohledu regulátora správce portfolia — plná licence. Pokud ale pouze doporučujete a klient sám provádí transakce přes třetí stranu, stačí licence investičního zprostředkovatele.

BNPL — buy now, pay later — je segment, který v Česku roste rychle. Z regulatorního pohledu jde o spotřebitelský úvěr, takže potřebujete licenci nebankovního poskytovatele spotřebitelských úvěrů. Technicky je klíčový real-time credit scoring, integrace s e-shopovými platformami a systém automatického inkasa splátek.

Technická architektura fintech platformy

Architektura fintech platformy se od běžné webové aplikace liší v jednom zásadním ohledu: každá transakce je nevratná a auditovatelná. Nemůžete si dovolit eventual consistency na ledgeru. Nemůžete si dovolit ztracené zprávy v message queue. A nemůžete si dovolit výpadek v momentě, kdy klient převádí peníze.

Jádrem každé fintech platformy je ledger — účetní kniha, která zaznamenává každou finanční operaci. Ledger musí být append-only, což znamená, že záznamy se nikdy nemažou ani nepřepisují. Opravné operace se zaznamenávají jako nové záznamy. Každý záznam má timestamp, unikátní identifikátor, zdrojový a cílový účet, částku, měnu a metadata. Tohle není místo pro MongoDB nebo jiné dokumentové databáze. PostgreSQL s double-entry bookkeeping schématem je standard. Každá transakce má dva záznamy — debet a kredit — a součet všech záznamů musí být vždy nula. Pokud není, máte problém.

KYC/AML modul je vaše druhé kritické jádro. Know Your Customer a Anti-Money Laundering nejsou volitelné — zákon č. 253/2008 Sb. o praní špinavých peněz vám ukládá povinnost identifikovat klienty, ověřovat jejich totožnost a monitorovat podezřelé transakce. V praxi to znamená: ověření dokladu totožnosti (OCR + biometrická verifikace), kontrola proti sankčním seznamům (EU, OFAC, OSN), PEP screening (politicky exponované osoby), průběžný monitoring transakcí a hlášení podezřelých operací Finančnímu analytickému úřadu.

Platební processing je vrstva, která skutečně přesouvá peníze. Záleží na typu platformy. Pro karetní platby potřebujete integraci s acquiring bankou — v Česku typicky ČSOB, Komerční banka nebo GP webpay — a certifikaci PCI DSS. Pro bankovní převody se napojujete na SEPA nebo tuzemský platební systém přes bankovní API. Pro okamžité platby existuje v Česku systém České bankovní asociace pro instant payments, který umožňuje převody do deseti sekund.

Fraud detection je systém, který v reálném čase vyhodnocuje, jestli transakce vypadá legitimně. Na základní úrovni jde o pravidlová engine — transakce nad určitou částku, z neobvyklé lokace, v neobvyklý čas. Na pokročilé úrovni nasazujete modely strojového učení, které se učí z historických dat a identifikují anomálie. Pro MVP stačí pravidlový přístup. Ale počítejte s tím, že ho budete nahrazovat ML modelem v prvním roce provozu, jakmile budete mít dostatek dat.

Celá architektura by měla být postavená na mikroslužbách, ale ne na začátku. Pro MVP začněte s modulárním monolitem — jasně oddělené moduly (ledger, KYC, platby, uživatelé, notifikace) v jedné aplikaci, které můžete později extrahovat do samostatných služeb. Předčasné rozřezání na microservices vám přidá měsíce vývoje a operační komplexitu, kterou v prvním roce nepotřebujete.

Klíčové integrace

Fintech platforma nežije v izolaci. Její hodnota je přímo úměrná kvalitě integrací s externími systémy. Tohle jsou integrace, bez kterých se neobejdete.

Bankovní API a open banking. V Česku jsou banky povinny poskytovat API pro přístup k účtům klientů (se souhlasem) díky PSD2. V praxi kvalita těchto API kolísá. Velké banky jako ČSOB, Komerční banka a Česká spořitelna mají relativně dobře zdokumentovaná API. Menší banky často nabízejí jen minimální implementaci. Pro agregaci více bank existují aggregátory jako Tink, Salt Edge nebo Aiia, které vám dají jednotné API pro přístup k desítkám bank v celé EU. Roční licence za takový aggregátor se pohybuje od 50 do 200 tisíc korun podle objemu.

Karetní processing — napojení na Visa a Mastercard — řešíte přes acquiring banku nebo přes procesory jako Adyen, Stripe nebo Checkout.com. Stripe v Česku funguje bez problémů a pro MVP je nejrychlejší cesta. Poplatky se pohybují kolem 1,4 % + 2,50 Kč za transakci. Pro vyšší objemy se vyplatí přímé napojení na acquiring banku, kde vyjednáte nižší sazby.

Identifikace a verifikace klientů je oblast, kde nechcete stavět vlastní řešení. Služby jako Veriff, Onfido nebo Jumio poskytují kompletní KYC pipeline — skenování dokladu, biometrické ověření, kontrola proti sankčním seznamům. Cena se pohybuje od 30 do 80 korun za verifikaci. Veriff má dobrou podporu českých dokladů totožnosti a řidičských průkazů. Onfido je silnější v enterprise segmentu. Pro české startupy je Veriff nejčastější volba.

Credit scoring je klíčový pro lending a BNPL platformy. V Česku existuje CNCB — Czech Non-Banking Credit Bureau — a CBCB — Czech Banking Credit Bureau (BRKI a NRKI). Přístup k těmto registrům vyžaduje členství a smluvní vztah. Pro alternativní credit scoring můžete využívat bankovní data klientů (přes open banking) a doplnit je o vlastní scoringové modely. Knihovny jako scikit-learn nebo TensorFlow na to bohatě stačí, ale potřebujete datového inženýra, který rozumí kreditnímu riziku, ne jen machine learningu.

Bezpečnostní požadavky

Ve fintechu bezpečnost není feature — je to prerequisite. Jeden únik dat a vaše platforma je mrtvá. Ne kvůli technickým škodám, ale kvůli ztrátě důvěry a regulatorním důsledkům.

PCI DSS (Payment Card Industry Data Security Standard) je povinný, pokud zpracováváte karetní data. Certifikace má čtyři úrovně podle objemu transakcí. Pro startupy typicky platí úroveň 4 (méně než 20 000 transakcí ročně), kde stačí self-assessment questionnaire. Ale i tak to znamená šifrování dat v klidu i v přenosu, segmentaci sítě, pravidelné skenování zranitelností a detailní bezpečnostní politiky. Nejjednodušší cesta je nikdy nedržet karetní data na svých serverech — použijte tokenizaci přes Stripe nebo Adyen a PCI scope se vám dramaticky zmenší.

Šifrování dat je samozřejmost, ale detaily rozhodují. TLS 1.3 pro veškerou komunikaci, AES-256 pro data v klidu, HSM (Hardware Security Module) pro klíče. Osobní údaje klientů šifrujte na úrovni sloupců v databázi, ne jen na úrovni disku. Když vám někdo prolomí aplikační vrstvu, data v databázi musí být pořád nečitelná.

Audit trail znamená, že každá akce v systému — každý login, každá změna dat, každý API call — je zalogována s timestampem, identitou aktéra a detailem operace. Tyto logy musí být immutable (uložené v append-only úložišti) a uchovávané minimálně pět let podle požadavků ČNB. V praxi to řešíte buď dedikovaným audit log systémem, nebo append-only tabulkou v databázi s kryptografickým řetězením záznamů.

Penetrační testování. ČNB očekává pravidelné bezpečnostní testy od nezávislé třetí strany. Počítejte s jedním penetračním testem před spuštěním a potom minimálně jednou ročně. Cena kvalitního pen testu v Česku se pohybuje od 150 do 400 tisíc korun podle rozsahu. Šetřit na tomhle je hazard. Jeden neodhalený SQL injection v platebním modulu vás může stát víc než veškeré penetrační testy dohromady.

Kolik to stojí

Náklady na fintech platformu jsou výrazně vyšší než na běžnou webovou aplikaci. Důvodem není jen komplexita kódu, ale regulatorní požadavky, bezpečnostní standardy a povinné integrace.

MVP fintech platformy — funkční produkt s jedním hlavním use casem (například P2P lending nebo platební brána), základním KYC, jednou platební integrací a minimální compliance — stojí mezi 1 a 3 miliony korun. Na vývoj samotný připadá zhruba 60 až 70 procent rozpočtu. Právní poradenství a regulatorní příprava spolkne 15 až 20 procent. Bezpečnostní audit a penetrační testy dalších 10 až 15 procent. Zbytek jsou licence za třetí strany — KYC provider, bankovní API, monitoring.

Production-ready platforma — plně licencovaná, s kompletním KYC/AML, více platebními metodami, fraud detection systémem, mobilní aplikací a zákaznickým supportem — se pohybuje od 3 do 7,5 milionu korun. Tohle je fáze, kde většina nákladů jde do compliance a bezpečnosti, ne do nových feature. Tady potřebujete compliance officera (buď na full-time, nebo externího za 40 až 80 tisíc měsíčně), pravidelné bezpečnostní audity a právní podporu pro regulatorní reporting.

Kam peníze reálně jdou: backendový vývoj (ledger, platební engine, KYC modul) představuje zhruba 40 procent celkového rozpočtu. Frontend a mobilní aplikace dalších 20 procent. Integrace třetích stran (banky, karetní sítě, KYC provideři) kolem 15 procent. Právní a regulatorní náklady 15 procent. Bezpečnost a audity zbylých 10 procent.

Měsíční provozní náklady po spuštění se pohybují od 80 do 200 tisíc korun. Serverová infrastruktura, licence za třetí strany, compliance monitoring, zákaznická podpora. Tyhle náklady nezmizí a rostou s počtem klientů.

Časový rámec

Realistický timeline pro fintech platformu je delší, než si většina zakladatelů přeje slyšet.

MVP zabere šest až dvanáct měsíců. První dva měsíce jsou regulatorní příprava a právní analýza — definice business modelu, identifikace potřebných licencí, příprava žádosti. Třetí až osmý měsíc je vývoj jádra platformy — ledger, KYC, platební integrace, základní frontend. Devátý až dvanáctý měsíc je bezpečnostní audit, penetrační testy, opravy a příprava na spuštění.

Ale pozor: pokud potřebujete plnou licenci ČNB, časový rámec se dramaticky prodlužuje. Proces udělení licence trvá šest až dvanáct měsíců od podání žádosti. To běží paralelně s vývojem, ale musíte počítat s tím, že bez licence nemůžete produkt spustit pro veřejnost. Můžete vyvíjet, testovat, iterovat — ale ne operovat.

Plně funkční platforma s kompletní licencí, mobilní aplikací, více platebními metodami a robustním fraud detection systémem je realisticky projekt na dvanáct až osmnáct měsíců. Některé složitější projekty — neobanky, investiční platformy — se blíží dvěma rokům.

Zrychlení je možné v technické části. Použití hotových modulů pro KYC (Veriff), platby (Stripe) a core banking (Mambu, Thought Machine) vám ušetří měsíce vlastního vývoje. Nedá se ale zrychlit regulace. ČNB má svůj proces a ten nepřizpůsobí vašemu sprint plánu.

Chyby, které vidíme opakovaně

Za roky práce s fintech projekty vidíme stejné chyby znovu a znovu.

Podceňování compliance je chyba číslo jedna. Zakladatel si řekne, že nejdřív postaví produkt a regulaci vyřeší potom. Pak zjistí, že architektura nepodporuje požadavky AML, že audit trail nebyl navržený od začátku a že přepisování ledgeru bude stát víc než celý původní vývoj. Compliance musí být v architektuře od prvního dne. Není to vrstva, kterou přidáte na konci.

Stavba bez právního poradce. Zákon o platebním styku má přes dvě stě paragrafů. Vyhláška ČNB o platebních institucích má dalších sto. GDPR, AML zákon, zákon o spotřebitelském úvěru — to je regulatorní džungle, kterou neprojdete bez průvodce. Advokátní kancelář specializovaná na fintech vás bude stát 150 až 300 tisíc korun na právní analýzu a přípravu licence. Je to investice, ne náklad. Bez ní riskujete, že váš celý produkt stojí na nesprávném právním základě.

Ignorování UX je překvapivě častá chyba v sektoru, kde důvěra uživatelů je všechno. Fintech aplikace musí být jednodušší na používání než tradiční banka, ne složitější. KYC onboarding, který trvá patnáct minut a vyžaduje šest kroků, zabije vaši konverzi. Revolut nastavil standard — verifikace za dvě minuty, účet za pět. Pokud váš onboarding nedosahuje alespoň podobné úrovně plynulosti, máte problém.

Přehnané budování před validací. Viděli jsme projekt, kde tým strávil rok budováním kompletního core banking systému, než měl jediného klienta. Pak zjistili, že trh o jejich konkrétní nabídku nemá zájem. Ověřte poptávku dřív, než investujete miliony. Landing page, waitlist, rozhovory s potenciálními klienty — standardní validační toolkit funguje i ve fintechu.

Podceňování provozních nákladů. Fintech platforma není produkt, který spustíte a necháte běžet. Je to živý organismus s regulatorním reportingem, průběžným monitoringem transakcí, zákaznickým supportem, bezpečnostními aktualizacemi a pravidelnými audity. Pokud váš business plán nepočítá s 80 až 200 tisíci korun měsíčně na provoz od prvního dne, přepočítejte ho.

Závěr

Fintech v Česku není snadný sektor. Ale je to sektor s obrovským potenciálem. České banky jsou konzervativní, jejich digitální služby zaostávají za západoevropským standardem a prostor pro inovaci je reálný. Kdo přijde s lepším produktem a dodržuje pravidla, má šanci.

Klíč je v přístupu. Nestavějte fintech jako softwarový projekt. Stavějte ho jako regulovaný finanční produkt, který náhodou běží na softwaru. Compliance first, architektura second, features third. Tohle pořadí priorit vám ušetří miliony a měsíce.

Plánujete fintech produkt? Pomůžeme s architekturou, regulací i vývojem. Od prvního právního posouzení přes technický návrh až po spuštění. Domluvte si konzultaci: calendly.com/exposethewealth/30min